W Portugalii nałożono pierwszą karę w wysokości 400 000 € pod reżimem RODO

Biuro DLS

Comissão Nacional de Proteção de Dados (CNPD) – portugalski odpowiednik naszego UODO nałożył na tamtejszy szpital Barreiro-Montijo karę w wysokości 400 000 euro. Przyczyną zastosowania tak radykalnej sankcji był nieuprawniony dostęp do danych klinicznych pacjentów.

Skąd tak wysoka kara?

W decyzji CNPD możemy przeczytać:

„Pozwany działał umyślnie, wiedząc, że był zobowiązany do zastosowania technicznych i organizacyjnych środków niezbędnych do identyfikacji i uwierzytelniania użytkowników, a także do zarządzania i rozgraniczania ich dostępu do profili informacyjnych, warstwując je zgodnie z różnymi przywilejami[…]”

Zgodnie z ustaleniami dokonanymi przez organ nadzorczy, dostęp do danych pacjentów miało 985 aktywnych kont, jednakże w szpitalu zatrudnionych było 296 lekarzy. Dodatkowo, okazuje się, że szpital nie dokonał odpowiednich kroków, by zapewnić bezpieczeństwo danych medycznych. Zarzuca się w szczególności nieodpowiednie procedury podjęte przy ich przechowywaniu i niewłaściwe przydzielanie dostępów. CNPD obwinia również administrację szpitala za niepodjęcie środków koniecznych do zapewnienia, że ​​profile lekarzy, którzy nie pracują już w Barreiro zostały wyeliminowane. Szpitalowi zarzuca się naruszenie zasad: integralności, poufności i minimalizacji danych.

Szpital odpowiada

Władze szpitala tłumaczą, że aktywność kont była spowodowana przejściowym incydentem związanym z ograniczeniami programu do przechowywania danych pacjentów dostarczanego przez firmy trzecie i dlatego część kont należy do pracowników, którzy zakończyli pracę dla szpitala i tych, którzy z nim współpracują. Podnoszona jest także wątpliwa kompetencja CNPD do nałożenia kary, w związku z niezakończonym procesem legislacyjnym związanym z RODO w Portugalii.

Żródła:

http://exameinformatica.sapo.pt/noticias/mercados/2018-10-19-CNPD-Hospital-do-Barreiro-multado-em-400-mil-euros-por-permitir-acessos-indevidos-a-processos-clinicos?fbclid=IwAR336KzIUqZI3XIL-YUQTtbAWltQ2lMMOk01LNgl62P0A3Nn2BOZoQoJ1gQ

https://www.jornaldenegocios.pt/economia/saude/detalhe/hospital-do-barreiro-multado-em-400-mil-euros-por-nao-proteger-dados-clinicos-dos-doentes